zoukankan      html  css  js  c++  java

  • 阿里云安骑士-Centos7系统基线合规检测-修复记录

    执行命令

    sysctl -w net.ipv4.conf.all.send_redirects=0
    sysctl -w net.ipv4.conf.default.send_redirects=0
    sysctl -w net.ipv4.conf.all.accept_redirects=0
    sysctl -w net.ipv4.conf.default.accept_redirects=0
    sysctl -w net.ipv4.conf.all.secure_redirects=0
    sysctl -w net.ipv4.conf.default.secure_redirects=0
    sysctl -w net.ipv4.conf.all.rp_filter=1
    sysctl -w net.ipv4.conf.default.rp_filter=1

    执行命令查看结果

    sysctl net.ipv4.conf.all.send_redirects
    sysctl net.ipv4.conf.default.send_redirects
    sysctl net.ipv4.conf.all.accept_redirects
    sysctl net.ipv4.conf.default.accept_redirects
    sysctl net.ipv4.conf.all.secure_redirects
    sysctl net.ipv4.conf.default.secure_redirects
    sysctl net.ipv4.conf.all.rp_filter
    sysctl net.ipv4.conf.default.rp_filter

    修改配置文件

    vi /etc/sysctl.conf

    net.ipv4.conf.all.send_redirects=0
    net.ipv4.conf.default.send_redirects=0
    net.ipv4.conf.all.accept_redirects=0
    net.ipv4.conf.default.accept_redirects=0
    net.ipv4.conf.all.secure_redirects=0
    net.ipv4.conf.default.secure_redirects=0
    net.ipv4.conf.all.rp_filter=1
    net.ipv4.conf.default.rp_filter=1

    执行命令

    sysctl -w net.ipv6.conf.all.accept_ra=0
    sysctl -w net.ipv6.conf.default.accept_ra=0
    sysctl -w net.ipv6.conf.all.accept_redirects=0
    sysctl -w net.ipv6.conf.default.accept_redirects=0

    执行命令查看结果

    sysctl net.ipv6.conf.all.accept_ra
    sysctl net.ipv6.conf.default.accept_ra
    sysctl net.ipv6.conf.all.accept_redirects
    sysctl net.ipv6.conf.default.accept_redirects

    修改配置文件

    vi /etc/sysctl.conf
    net.ipv6.conf.all.accept_ra=0
    net.ipv6.conf.default.accept_ra=0
    net.ipv6.conf.all.accept_redirects=0
    net.ipv6.conf.default.accept_redirects=0

    执行命令

    chmod 0600 /boot/grub2/grub.cfg
    chmod 0600 /etc/crontab
    chmod 0600 /etc/cron.hourly
    chmod 0600 /etc/cron.daily
    chmod 0600 /etc/cron.weekly
    chmod 0600 /etc/cron.monthly
    chmod 0600 /etc/cron.d
    useradd -D -f 1095

    修改配置文件(取消注释)

    vi /etc/ssh/sshd_config

    LogLevel INFO
    MaxAuthTries
    IgnoreRhosts yes
    HostbasedAuthentication no
    PermitEmptyPasswords no
    PermitUserEnvironment no
    LoginGraceTime

    修改配置文件(取消注释或修改参数)

    vi /etc/security/pwquality.conf

    minlen=10
    dcredit=-1
    ucredit=-1
    lcredit=-1
    ocredit=-1

     修改配置文件(添加配置)

    vi /etc/pam.d/password-auth
    password sufficient pam_unix.so remember=3

    修改配置文件(添加配置)

    vi /etc/pam.d/system-auth
    password sufficient pam_unix.so remember=3

    修改配置文件(添加配置)

    vi /etc/rsyslog.conf
    $FileCreateMode 0640

    修改配置文件

    在/etc/login.defs 设置密码修改最小间隔时间,建议值7

    检查项: 禁止root直接登录
    加固建议: 注意:在修改此项之前,请务必创建一个可登陆账号;在/etc/ssh/sshd_config中PermitRootLogin的值:yes设置为no
    检查项: 默认登录端口检测
    加固建议: 在/etc/ssh/sshd_config中取消Port 22注释符号#,并修改22为其它值

    附:

    风险分类:合规基线检测-Centos7系统基线合规检测
    检测项说明:按照CIS-Linux Centos7最新基线标准进行系统层面基线检测

    检查项: 禁止转发ICMP重定向报文
    加固建议: 首先执行:sysctl -w net.ipv4.conf.all.send_redirects=0(执行结果可利用sysctl net.ipv4.conf.all.send_redirects查看值是否为0),再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.send_redirects=0,不存在则添加
    检查项: 禁止转发ICMP重定向报文
    加固建议: 首先执行:sysctl -w net.ipv4.conf.default.send_redirects=0(执行结果可利用sysctl net.ipv4.conf.default.send_redirects查看值是否为0),再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.send_redirects=0,不存在则添加
    检查项: 禁止包含源路由的ip包
    加固建议: 首先执行:sysctl -w net.ipv4.conf.all.accept_redirects=0(执行结果可利用sysctl net.ipv4.conf.all.accept_redirects查看值是否为0),再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.accept_redirects=0,不存在则添加
    检查项: 禁止包含源路由的ip包
    加固建议: 首先执行:sysctl -w net.ipv4.conf.default.accept_redirects=0(执行结果可利用sysctl net.ipv4.conf.default.accept_redirects查看值是否为0),再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.accept_redirects=0,不存在则添加
    检查项: 禁止转发安全ICMP重定向报文
    加固建议: 首先执行:sysctl -w net.ipv4.conf.all.secure_redirects=0(执行结果可利用sysctl net.ipv4.conf.all.secure_redirects查看值是否为0),再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.secure_redirects=0,不存在则添加
    检查项: 禁止转发安全ICMP重定向报文
    加固建议: 首先执行:sysctl -w net.ipv4.conf.default.secure_redirects=0(执行结果可利用sysctl net.ipv4.conf.default.secure_redirects查看值是否为0),再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.secure_redirects=0,不存在则添加
    检查项: 禁止ipv6路由广播
    加固建议: 首先执行:sysctl -w net.ipv6.conf.all.accept_ra=0(执行结果可利用sysctl net.ipv6.conf.all.accept_ra查看值是否为0),再查看/etc/sysctl.conf中是否存在net.ipv6.conf.all.accept_ra=0,不存在则添加
    检查项: 禁止ipv6路由广播
    加固建议: 首先执行:sysctl -w net.ipv6.conf.default.accept_ra=0(执行结果可利用sysctl net.ipv6.conf.default.accept_ra查看值是否为0),再查看/etc/sysctl.conf中是否存在net.ipv6.conf.default.accept_ra=0,不存在则添加
    检查项: 禁止ipv6路由重定向
    加固建议: 首先执行:sysctl -w net.ipv6.conf.all.accept_redirects=0(执行结果可利用sysctl net.ipv6.conf.all.accept_redirects查看值是否为0),再查看/etc/sysctl.conf中是否存在net.ipv6.conf.all.accept_redirects=0,不存在则添加
    检查项: 禁止ipv6路由重定向
    加固建议: 首先执行:sysctl -w net.ipv6.conf.default.accept_redirects=0(执行结果可利用sysctl net.ipv6.conf.default.accept_redirects查看值是否为0),再查看/etc/sysctl.conf中是否存在net.ipv6.conf.default.accept_redirects=0,不存在则添加
    检查项: 密码授权新密码与老密码不能重复
    加固建议: 在/etc/pam.d/password-auth中添加:password sufficient pam_unix.so remember=3 ,remember的值表示此次设置密码与过去3次不同
    检查项: 系统授权新密码与老密码不能重复
    加固建议: 在/etc/pam.d/system-auth中添加:password sufficient pam_unix.so remember=3 ,remember的值表示此次设置密码与过去3次不同
    检查项: rsyslog日志文件权限配置
    加固建议: 在/etc/rsyslog.conf中添加:$FileCreateMode 0640
    检查项: 禁止root直接登录
    加固建议: 注意:在修改此项之前,请务必创建一个可登陆账号;在/etc/ssh/sshd_config中PermitRootLogin的值:yes设置为no
    检查项: 默认登录端口检测
    加固建议: 在/etc/ssh/sshd_config中取消Port 22注释符号#,并修改22为其它值
    检查项: SSHD仅记录ssh用户登录活动
    加固建议: 在/etc/ssh/sshd_config中取消LogLevel INFO注释符号#
    检查项: SSHD仅记录ssh用户登录活动
    加固建议: 在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#,设置自定义最大密码尝试失败次数
    检查项: 清理主机远程登录历史主机记录
    加固建议: 在/etc/ssh/sshd_config中取消IgnoreRhosts yes注释符号#
    检查项: 禁止主机认证登录
    加固建议: 在/etc/ssh/sshd_config中取消HostbasedAuthentication no注释符号#
    检查项: 禁止空密码用户登录
    加固建议: 在/etc/ssh/sshd_config中取消PermitEmptyPasswords no注释符号#
    检查项: 禁止用户修改环境变量
    加固建议: 在/etc/ssh/sshd_config中取消PermitUserEnvironment no注释符号#
    检查项: 设置输入密码间隔时间
    加固建议: 在/etc/ssh/sshd_config中取消LoginGraceTime前注释符,同时设置输入密码时间间隔秒数
    检查项: 设置用户密码最小长度
    加固建议: 在/etc/security/pwquality.conf中取消minlen注释符号#,同时设置最小密码长度建议10位以上
    检查项: 设置用户密码数字位数
    加固建议: 在/etc/security/pwquality.conf中取消dcredit注释符号#,同时设置为负数建议-1最少包含1位数字
    检查项: 设置用户密码大写字母位数
    加固建议: 在/etc/security/pwquality.conf中取消ucredit注释符号#,同时设置为负数建议-1最少包含1位大写字母
    检查项: 设置用户密码小写字母位数
    加固建议: 在/etc/security/pwquality.conf中取消lcredit注释符号#,同时设置为负数建议-1最少包含1位小写字母
    检查项: 设置用户密码特殊字符位数
    加固建议: 在/etc/security/pwquality.conf中取消ocredit注释符号#,同时设置为负数建议-1最少包含1位特殊字符
    检查项: 密码修改最小间隔时间
    加固建议: 在/etc/login.defs 设置密码修改最小间隔时间,建议值7
    检查项: 设置有密码账户不活动最大时间
    加固建议: 使用如下命令设置有密码账户不活动最大时间值:useradd -D -f 1095,建议值1095天
    检查项: 检查/boot/grub2/grub.cfg文件ACL属性
    加固建议: 执行:chmod 0600 /boot/grub2/grub.cfg
    检查项: 检查/etc/crontab文件ACL属性
    加固建议: 执行:chmod 0600 /etc/crontab
    检查项: 检查/etc/cron.hourly文件ACL属性
    加固建议: 执行:chmod 0600 /etc/cron.hourly
    检查项: 检查/etc/cron.daily文件ACL属性
    加固建议: 执行:chmod 0600 /etc/cron.daily
    检查项: 检查/etc/cron.weekly 文件ACL属性
    加固建议: 执行:chmod 0600 /etc/cron.weekly
    检查项: 检查/etc/cron.monthly 文件ACL属性
    加固建议: 执行:chmod 0600 /etc/cron.monthly
    检查项: 检查/etc/cron.d 文件ACL属性
    加固建议: 执行:chmod 0600 /etc/cron.d
  • 相关阅读:
    [年报阅读] 中国银行业监督管理委员会2009年报(1)
    囧事
    [论文收集] 2009年|国内计算机方向三大学报|Web Service相关论文
    打开那扇窗
    初生牛犊不怕虎
    忘却的纪念
    Java JDBC学习
    Java数组学习
    如何清晰地思考:近一年来业余阅读的关于思维方面的知识结构整理(附大幅思维导图)
    管理类文件
  • 原文地址:https://www.cnblogs.com/coffee_cn/p/8745143.html
Copyright © 2011-2022 走看看